Extensiones maliciosas en Chrome: cómo el malware se oculta tras funciones útiles

log practices iso 27001
Prácticas adecuadas para recopilar y gestionar registros conforme a la ISO/IEC 27001:2022
27 de mayo de 2025
bitwarden XSS
Bitwarden bajo escrutinio: XSS persistente a través de PDFs embebidos en la función Resources
28 de mayo de 2025
Ver todo

Un nuevo informe de DomainTools ha destapado una campaña activa que distribuye extensiones de Chrome con funciones aparentemente legítimas, pero que en realidad sirven como puertas traseras para el espionaje y control remoto del navegador. Desde febrero de 2024, se han identificado más de un centenar de dominios maliciosos dedicados a esta operación.

Funcionalidad aparente, comportamiento malicioso

Estas extensiones ofrecen características populares como inteligencia artificial generativa, VPNs, análisis de tráfico web o herramientas para criptomonedas. Sin embargo, al instalarse, activan un comportamiento oculto: comunicación con servidores de mando y control, envío de información del sistema, ejecución de código arbitrario y, en algunos casos, conversión del navegador en un proxy inverso controlado por el atacante.

Los atacantes evaden las revisiones de la Chrome Web Store abusando de permisos peligrosos como declarativeNetRequest, cookies, tabs y scripting, además de aplicar reglas dinámicas tras su instalación para ocultar su comportamiento real.

Infraestructura común y técnicas avanzadas

Todas las extensiones maliciosas identificadas comparten un patrón técnico preocupante:

  • Dominios registrados con NameSilo y servidos por Cloudflare, utilizados tanto como señuelos como puntos de comunicación (API).
  • Código malicioso ofuscado dentro del archivo background.js, que incluye el dominio C2 incrustado.
  • Uso de tokens JWT firmados con HMAC-SHA256, donde la clave secreta es la propia ID de la extensión.
  • Transmisión del payload mediante canales WebSocket y codificación Base64.
  • Inyección de código JavaScript externo mediante un truco con el evento onreset, una técnica poco común que permite burlar políticas de seguridad CSP.

Ejemplos detectados

Entre las muestras analizadas, destacan extensiones como:

  • Manus AI
  • FortiVPN Client
  • SiteStats

Estas extensiones han sido utilizadas para robar cookies completas, inyectar publicidad no deseada, redirigir tráfico a sitios fraudulentos e incluso establecer conexiones proxy controladas remotamente.

Aunque algunas variantes han sido eliminadas por Google, la campaña continúa activa y evoluciona constantemente, ajustándose para evitar la detección.

Cómo proteger tu navegador

Recomendaciones clave para los usuarios:

  • Instalar solo extensiones de desarrolladores verificados.
  • Revisar cuidadosamente los permisos solicitados.
  • Consultar opiniones y valoraciones antes de instalar.
  • Mantener el navegador y el software antivirus actualizados.
  • Eliminar extensiones que no se utilicen regularmente.
  • Realizar auditorías periódicas de las extensiones instaladas.

Más información:

Artículos relacionados

30 de mayo de 2025

Falla crítica en Fortinet (CVE-2025-32756): desbordamiento de pila explotado activamente

Leer más
30 de mayo de 2025

Vulnerabilidad en Oracle TNS expone datos sensibles desde la memoria del sistema

Leer más
Ayuntamiento de Castroverde
29 de mayo de 2025

Caso BEC en Castroverde de Campos: Ayuntamiento pierde 7.000 euros por compromiso de correo electrónico

Leer más
hacking adidas
29 de mayo de 2025

Hackeo a Adidas España: Exposición de datos personales tras brecha en proveedor externo

Leer más
Victoria’s Secret ‘s website offline following a cyberattack
29 de mayo de 2025

Victoria’s Secret desconecta su sitio web tras un ciberataque que afectó operaciones críticas

Leer más
asus hacking routers
29 de mayo de 2025

Botnet AyySSHush compromete más de 9,000 routers ASUS mediante una puerta trasera persistente vía SSH

Leer más